我正在處理一個非常詳細的安全需求的項目。如果提出的模型與任何情報/安全機構一樣複雜,我會誠實地不會感到驚訝。現在我已經讀到,將安全與業務邏輯結合起來是一個混合問題,因此需要避免。安全可能不是一個橫切關注?
但是,所有抽象安全的嘗試都失敗了,或者像以前一樣產生了像抽象一樣的「抽象」。是否有可能讓安全性如此具體以至於成爲業務規則的一部分?在某些違反安全的情況下,只會屏蔽數據,而在其他情況下會終止會話,而在其他情況下,則會觸發默認值以替代使用。對安全性要求有很多要求。
我的根本問題是:我是否可以處於特殊情況下(即將安全性合理化)或者我不理解關於抽象安全性的基本知識?
編輯:
TL;博士(答案,因爲我理解他們):認證(你是誰)是一個很有橫切關注點,應該抽象,而授權(什麼都可以你這樣做)是商業邏輯。缺乏這種詞彙並且只有「安全」這個詞(或者可能沒有意識到兩者之間的區別)導致我的困惑。
我認爲您會在[ITSecurity](http://security.stackexchange.com) /) – AviD 2011-05-09 16:18:25
我認爲當你說「安全性」時,你並不是指*只是*來進行身份驗證和授權,因爲這兩個海報至今都宣稱它是全部存在的...... – AviD 2011-05-09 16:20:00
Avid,我認爲我們是沒有解決其他安全問題,因爲這個帖子特別質疑安全性是否可以成爲業務規則的一部分,而Sql注入攻擊雖然是「安全性」的一部分,但通過編碼模式和實踐來解決,因爲數據跨越各層,而不是在要求中常見的東西 – Andy 2011-05-09 16:23:03